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0 Precede de limitation des risques attaches a une transaction informatique. 



0 ^invention concerne un procede d'analyse et de controle du deroulement de transactions informatiques 
dans lequel. h chaque transaction: 

- un utilisateur requiert d'un dispositif la delivrance de biens, de services ou de valeurs pour un montant 
demand^ (MD) donn§, 

- le dispositif analyse cette requete par comparaison avec des donnees statistiques predeternninees representati- 
ves de revaluation d'un risque d'utilisation non confornne. ces donnees statistiques comprenant des donnees 
relatives au nombre moyen ou au montant moyen des transactions effectuees au cours de periodes successives 
donnees. et 

- le dispositif elabore une reponse autorisant ou non. en fonction du resultat de cette analyse, la delivrance d'un 
montant accorde (MA), 

Selon rinvention, lesdites donnees statistiques predeterminees resultent d'une division du temps en 
periodes consecutives, inegaies, dont les durees sent choisies de telle maniere que la probabilite qu'une 
transaction soit effectuee ou qu*un montant moyen soit demande au cours de chacune de ces periodes soit 
essentiellement constante. 
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PROCEDE DE LIMITATION DES RISQUES ATTACHES A UNE TRANSACTION INFORMATIQUE 

La presente invention concerne un precede d'analyse et de controle du deroulement de transactions 
informatiques. 

Ce precede peut s'appliquer k une tr§s grande variety de transaction executees par des automates, 
reseaux de communication, terminaux informatiques, etc. destines k d^livrer des biens, des services ou des 
5 valeurs k un utilisateur. 

Bien que, dans la suite. !e precede de invention sera essentiellement decrit k propos d'une application 
k un distributeur automatique de billets, une telle application n'est aucunement limitative et le precede de 
I'invention pourrait etre mis en oeuvre aussi bien pour I'analyse et le controle d'autres transactions. 

Ainsi, dans son principe, ce precede peut s'appliquer au controle du fonctiennement d'autres appareils 
70 automatiques (telephones publics par exemple) ou de reseaux (notamment de reseaux t^lematiques) 
destines a distribuer des produits ou des valeurs. a delivrer des services ou a fournir des informations, dfes 
lors que ces appareils ou reseaux peuvent etre sujets aux fraudes ou aux utilisations anormales ou abusives 
que Ton va decrire ci-dessous. 

Le precede de i'invention s'applique tout particuli5rement aux centres serveurs de donnees et de 
75 services relies a des terminaux informatiques ou videotex. En effet, dans ce cas, le precede de I'invention 
se revile particulierement interessant cempte tenu de la diffusion tr§s large dans le public des terminaux 
videotex, muitipliant ainsi les probabilites de fraude et les risques qui y sent attaches. 

On utiiisera dans la suite de la description le terme <c automate » pour designer de fa9on generique 
rensemble constitue par le dispositif assurant le dialogue avec I'utilisateur et dellvrant les biens, les 
20 services ou les valeurs demandees, considere avec I'ensemble de ses circuits de gestien et de commande 
associes. 

Par ailleurs. bien que, dans la suite de la description, en decrira un tel automate » sous forme d'une 
machine autonome affect^e k la gestien d'un unique appareil distributeur et pourvue de microcircuits 
specialises mettant en oeuvre le precede de I'invention sous forme materielle ou legicielle. d'autres formes 
25 de realisation de cet automate pourrait aussi bien etre envisagee, notamment: 

- en cenfigurant de fagon appropriee. sous forme Informatique equivalente, un ordinateur personnel dote de 
circuits d'interfagage et d'un logiciel appropri^. 

- sous forme d'un systeme informatique plus puissant, permettant de gerer en parallele un grand nombre 
d'automates. par exemple un reseau de plusieurs centaines d'automates geres en ligne par un centre 

30 d'auterisation commun, ou 

- par incorporation directe du precede de I'invention dans le logiciel de commande d'un automate 
preexistant ou de Pordinateur gestionnaire d'un reseau d'automates. 

De fagon generaie, dans toute les transactions evoquees plus haut. I'automate differencie les utilisa- 
teurs autorises de ceux qui ne le sent pas au moyen de <s: laissez-passer » tel qu'un met de passe ou un 
35 cede confidentiel et/ou une carte accreditive devant etre introduite dans Tautomate. 

Ces automates sont susceptibles d'etre fraudes ou utilises de fagon non conferme. aussi bien par une 
personne non autorls^e reussissant k connaTtre un mot de passe que par le veritable titulaire du laissez- 
passer, qui tenterait d'utlliser de fagon abusive eu anermate I'autorisation dent il b^neficie pour faire 
fonctlenner I'automate. Toutes ces formes d'utilisation non conformes seront dans la suite designees de 
40 fagon generique sous le terme de <sc fraude ». 

La difficulte vient du fait que, des lors qu'un utilisateur fournit k I'automate un iaissez-passer coherent et 
apparemment correct, il n'existe aucun moyen de determiner de fagon absolue si cet utilisateur est un 
fraudeur ou non. 

De la meme fagon. il existe peu de parades efficaces centre ('utilisation abusive censistant k dupliquer 
45 a grande echelie un laissez-passer authentique, le fraudeur effectuant avec chacun des duplicata une 
transaction sur un automate' different. 

Pour parer a ce risque, on a dej^ essaye de detecter les utilisations exceptionnellement elevees d'un 
automate, ces utilisations exceptionnelles pouvant etre I'indice d'une fraude. 

Les automates sont a cet effet poun/us de systemes que Ton designera par la suite sous le terme de « 
50 limiteurs de risque » et qui analysent le nombre et/ou le montant des transactions effectuees pendant des 
periodes successives donnees, par exemple pendant des tranches successives d'un quart d'heure. 

Lorsque, au cours de cette tranche d'un quart d'heure, le montant cumule des retraits atteint un plafond 
fixe predetermine, le limiteur de risque interrempt le fonctiennement de I'automate - et empeche dene toute 
delivrance - jusqu'au debut de la neuvelle periode suivante, c'est-^-dire jusqu'au quart d'heure sulvant ; le 
plafond cerrespondant k cheque periode est fixe k partir de donnees statistiques pred§terminees represen- 
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tatives de ('evaluation d'un risque de fraude pour le periode concernee. 
Lefficacite d'un tel llmiteur de risque est cependant reduite. En effet: 

- tout d'abord. i) ne tient pas compte des phenom^nes d'afflux soudains de porteurs normaux, non 
fraudeurs (par exemple. dans le cas d'un automate installe dans une gare, peu aprfes I'arrivee d'un train), a 

5 rinterleur d'une tranche horaire donnee : Tutilisation exceptionneilement elevee va provoquer I'arret de 
I'automate jusqu'au quart d'heure sulvant, ce qui peut provoquer une indisponibilite assez longue si I'afflux 
a eu lieu en debut de tranche horaire. 

- en second lieu, i! est inefficace centre un fraudeur experinnente. 

- enfin, il ne permet pas d'adopter te meilieur compromis entre Tindisponibilite de Tautomate vis-a-vis des 
TO porteurs legitimes et Tefficacit^ contre les fraudeurs. 

Le but de la presente invention est de perfectionner les methodes utiiisees jusqu'a present, afin de 
limiter consid^rablement - typiquement dans un rapport de dix et plus par rapport aux precedes actuels 
d'analyse - les effets de fraudes importantes. 

On ven'a en outre que ce precede est mis en oeuvre de fagon entierement automatique et auto- 

75 adaptative. grace h Tintegra tion d'un certain nombre d'asservissements permettant de stabiliser le systeme 
autour d'une valeur de consigne qui peut etre un taux de fausses alarmes. 

Ainsi, on introduira par exemple dans le systeme la valeur de consigne <sc ne pas penaliser plus d'un 
utilisateur honnete sur mille et le precede ajustera de tui-m§me son propre fonctionnement de manifere a 
respecter et maintenir cette valeur de consigne. 

20 devaluation du proced^ de invention a permis de constater que celui-ci est particuliferement perfor- 
mant. Par exemple, avec les valeurs typiques de parametrage qui seront donnees plus loin dans Texemple 
de realisation, on constate que le limiteur de risque entre en action tres rapidement, generalement apres 
trois ou quatre operations frauduleuses. Le fraudeur doit alors abandonner sa tentative, aller a un autre 
automate; etc. et perd du temps, ce qui limite considerablement son gain potentiel et reduit done 

25 notablement Techelle des fraudes possibles. 

Le precede de invention est un precede du type general precite, c'est-a-dire dans lequel, a chaque 
transaction : un utilisateur requiert d'un dispositif la delivrance de biens, de services ou de valeurs pour un 
montant demande donne ; le dispositif analyse cette requete par comparaison avec des donnees statisti- 
ques predeterminees representatives de revaluation d'un risque d'utiiisation non conforme, ces donnees 

30 statistiques comprenant des donnees relatives au nombre moyen ou au montant moyen des transactions 
effectu^es au cours de periodes successives donnee ; et le dispositif elabore une reponse autorisant ou 
non, en fonction du resultat de cette analyse, la delivrance d'un montant accorde. 

De fagon caracteristique de I'invention. lesdites donnees statistiques predeterminees resultent d'une 
division du temps en periodes consecutives, inegales. dont les durees sont choisies de telle maniere que la 

35 probabilite qu'une transaction soit effectuee ou qu'un montant moyen soit demande au cours de chacune 
de ces periodes soit essentiellement constante. 

De preference, pour assurer une fonction de limitation progressive, le dispositif ilabore et met k jour au 
cours du temps une fonction donnant une evaluation d'un niveau de risque total, et, en cas de transaction, 
le dispositif limite, a un Instant donne, la delivrance du montant accorde a une valeur au plus egale a la fois 

40 au montant demande et a une limite egale a un plafond predetermine diminu^ de la valeur instantande du 
risque total. 

Dans ce cas, k I'interieur de chaque periode. le dispositif peut mettre a jour la valeur du risque total par 
addition, apr§s chaque transaction, de ta valeur d'un niveau de risque diementaire attache a cette 
transaction, a la valeur precedente du risque total. Le risque elemental re attache a chaque transaction est 

45 alors une fonction donnant. pour chacune des periodes successives h venir, une serie d'evaluations 
successives determinees a partir du montant accorde deiivre par le dispositif pour cette transaction, ces 
evaluations successives etant determinees de maniere a donner une evaluation du risque 6!ementaire 
essentiellement decroissante en fonction du rang des periodes successives. 

Par ailleurs, ledit plafond predetermine peut etre determine a partir d'une valeur fixe de consigne 

50 initialement introduite dans le dispositif et dans lequel, en outre, le dispositif determine I'apparition d'un 
incident lorsqu'il ne deiivre qu'un montant accorde inferieur au montant demande, et asservit ladite valeur 
fixe de consigne initialement introduite sur un taux moyen d'incidents essentiellement constant au cours du 
temps. 

Selon une caracteristique avantageuse, lesdites durees definissant la division du temps en periodes 
55 consecutives inegales sont determinees par interpolation h partir des valeurs d'un tableau de valeurs 
discretes statistiques preetablies correspondant k une division du temps en tranches consecutives. 
Dans ce cas, le dispositif peut notamment: 

- determiner I'apparition d'un incident lorsqu'il ne deiivre qu'un montant accorde inferieur au montant 
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demande. et asservir lesdites valeurs discretes statistiques preetablies initialement introduites de maniere a 
maintenir essentiellement constants la probability qu'une transaction soit effectuee ou qu'un montant moyen 
soit demande au cours de chacune des periodes correspondantes: 

- utiiiser un tableau de valeurs discretes statistiques different pour chacun des differents jours; 

5 - ponderer les valeurs discretes statistiques du tableau en fonction des variations cycliques constatees 
desdites valeurs. notamment selon le quantieme du mois et/ou le naois de Tannee ; et/ou 

- ponderer les valeurs discretes statistiques du tableau en fonction des parametres typiques lies a des 
transactions frauduleuses antirieurement constatees. 

Enfin. le precede de I'invention prevoit un moyen pour.parer une possibilite subsistante de fraude. En 
10 effet, dans beaucoup de systemes une utilisation anormalement faible du systeme peut etre consideree 
comme un signe annonciateur d'une possibility de fraude. 

A cet effet on' prevoit de considerer non seulement les utilisations exceptionnellement eievees de 
rautomate, mais egalement ses utilisations exceptionnellement faibles. 

Pour ceia. le dispositif elabore et met k jour au cours du temps une evaluation d'un niveau de risque 
75 aggrave inversement fonction de la probabilite pour que, k un instant donne. il nV ait pas eu de transaction 
effectuee depuis un nombre donne de periodes consecutives. le risque aggrave etant ajout^ au risque total 
sous forme d'une transaction fictive de montant donne. et, en cas de transaction dans une periode 
posterieure, le dispositif limits, k un instant donne, la d^livrance du montant accord^ k une valeur au plus 
egale k la fois au montant demande et a iadlte limite. 
20 Cette disposition peut etre mise temporairement hors service lorsque Ton veut obtenir un redemarrage 
rapide de I'automate apr5s un arret du k des circonstances normales (maintenance, rechargement de 
billets,...). 

On va maintenant decrire un exemple de realisation de Tinvention, applique a la gestion d'un 
distributeur automatique de billets de banque. 
25 La figure 1 est la representation sous fonme de schema par blocs d*un dispositif permettant de mettre en 
oeuvre le precede de I'invention. 

La figure 2 illustre sous forme de tableau la maniere dont on determine revolution du risque elementaire 
au cours des periodes a venir. 

La figure 3 Illustre. sous forme de tableau, la maniere dont on determine le risque total pour les periodes 
30 k venir en fonction des risques el^mentaires pr^c^demment determines. 

La figure 4 est une representation d'un tableau de valeurs statistiques predeterminees permettant de 
realiser la division du temps selon le precede de I'invention. 

La figure 5 est une courbe montrant. pour Tune des colonnes du tableau de la figure 4, la suite des 
valeurs discretes et la fonction d'Interpolation obtenue. 
35 La figure 1 represente, de fagon schematique, les divers blocs fonctionnels permettant la mise en 
oeuvre de I'invention. 

Le distributeur proprement dit. qui est constitue par les elements 1, 3 et 4 illustres k droite de la figure, 
envoie au limiteur de risque selon I'invention (partie centrale de la figure) un certain nombre d'informations 
et reQoit de celui-ci une reponse. 
40 Un tel ^change demande/reponse constitue une <k transaction » au sens de Tinvention. 

Dans I'exemple d'un distributeur de billets de banque. la demande est elaboree par le bloc 1 lorsque 
rutilisateur desirant se faire d^livrer des billets introduit sa carte dans I'appareil et indique par un clavier le 
montant MD qu'il souhaite obtenir. Ces informations, ainsi que d'autres (qui ne sont pas necessaires a la 
mise en oeuvre du precede de I'invention) sont transmises au bloc 2 du limi teur de risque qui Elabore une 
45 reponse constituee essentiellement par un montant accorde MA, le plus souvent egal au montant demande 
MD, mais qui peut etre inf^rleur k celui-ci ou meme nul lorsque le limiteur de risque entre en action. 

Le distributeur regoit cette information de montant accord^ MA et. si tout est correct par aiileurs 
(verification du code confidentiel. de la liste des oppositions, etc.) propose a I'utilisateur ce montant MA 
(bloc 3). L'utilisateur peut eventuellement renoncer k la transaction ou demander un montant effectif ME 
50 inferieur au montant accorde MA (bloc 4). En pratique, et pour la simplicite de la description, on 
considerera le montant accorde MA delivre par I'element 2 du limiteur de risque plutot que ie montant 
effectif ME delivre par !e bloc 4 du distributeur. Cependant. en toute rigueur, c'est ce montant ME 
correspondant a la somme effectivement retiree qu'il faudrait prendre en compte. notamment pour le calcul 
du risque et I'asservissement du limiteur de risque. En pratique, dans la tres grande majorite des cas le 
55 montant effectif ME est egal au montant accorde MA. et le fait de choisir I'un ou I'autre a peu d'incidence 
sur refficacite du limiteur de risque. 

Comme on t'a indique plus haut. le principe de base du limiteur de risque de I'invention consists a 
diviser le temps en periodes consecutives de longueurs inegales. Cette longueur est done fonction du 
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temps, et on la notera u(t) ou u(tn), n etant le rang de la periode consideree. 

On determine la longueur u{tn) (d*une manifere que Ton explicitera plus bas) de telle sorte que la 

probabilite d'avoir une demande de retrait pendant la periode correspondante [tn, tn*-i] soit constante. Dans 

I'exemple qui suivra. on fixera cette valeur de probabilite a 40 %. 
5 La longueur u(t) peut ainsi varier. selon les periodes, de quelques secondes aux heures de pointe a 

plusieurs heures aux heures creuses (periodes nocturnes). 

En variante. on peut egalement definir u(t) non plus par la probabilite d*avoir une demande de retrait, 

mais k partir de la moyenne des montants demandes au cours de la periode consideree, par exemple 40% 

du montant moyen constate, soit 250 F pour un montant moyen de 625 F. 
TO Les differentes longueurs u(t) sont calculees par le bloc 5, qui calcule egalement, de proche en proche, 

les heures de debut tn et de fin tn*i. conformement a la relation : 

tn*1 = tn + U(tn) " 

Connaissant une premiere valeur to. on pouaa ainsi determiner, de proche en proche, toutes les valeurs 

t„. 

15 

i valuation du risque eiementaire 



20 Supposons qu*au cours d'une periode donnee (que Ton appellera periode zero, et dont la longueur sera 
done u(to)) un retrait de montant MA soit effectue h I'instant t(to ^ t < ti). 

Ce retrait a une certaine probabilite d'etre frauduleux, et correspond done k I'apparition d'un risque, que 
Ton appellera risque eiementaire et que Ton designera RE. 

Le risque eiementaire RE lie h ce retrait va cependant s*attenuer au fil du temps. A cet effet. on definira 
25 RE par une fonction RE(n), n designant les periodes successives (n = 0. 1, 2 ...) incluant et suivant la 
periode en cours (n = 0) consideree, et telle que RE{n) soit essentiellement decroissante lorsque n 
augmente. 

On pourra par exemple prendre pour RE(n) ia fonction illustree sur le tableau de la figure 2. cette 
fonction etant definie par les valeurs de la suite ; 
30 RE(n) = MA pour n = 0, 1 ou 2, et 
RE(n) = (2,5/n) x MA pour n ^ 3. 

On voit qu'avec une telle fonction RE(n) devient negllgeable lorsque n devient eleve.' c'est-a-dire 
lorsque le fraudeur a ^te suffisamment retarde dans ses actions et dans ses gains. 

On pourra ainsi limiter le caicul de RE(n) k une valeur maximale (par exemple n = 100). fonction des 
35 capacites de traitement du limiteur de risque. 

On peut egalement remplacer tout ou partie de la fonction que Ton vient de definir par une fonction 
proche, par exemple une fonction exponentielie, ce qui peut simplifier les differents calculs necessaires. 

Ce risque eiementaire RE(n) est determine par le bloc fonctionnel 6 a partir des donnees MA delivrees 
par le bloc 2 (ou. en variante, k partir des montants effectifs ME dellvres par le bloc 4). 

40 

Evaluation du risque total 



45 Le risque total (que Ton designera RT) est la valeur d'apres laquelle le limiteur de risque decidera de la 
conduite k tenir vis-&-vis d'une demande donnee : accord du montant demande, limitation (reduction) du 
montant demande. ou refus de delivrance de tout montant. 

Ce risque total est determine a partir des risques elementaires propres attaches a chacun des retraits 
anterleurs. 

50 Ce risque total est une valeur Evolutive mise k jour a chaque retrait, done eventuellement plusieurs fois 
au cours d'une m§me periode si plusieurs retraits sont effectues au cours de cette periode. 

On appellera RT(n) le risque total RT en debut de la periode n et RT (n) le risque total en fin de cette 
meme periode. 

Le risque total en fin de periode est defini de la mani^re suivante (pour m retraits effectues au cours de 
55 cette periode): 
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Rr(n) = RT (n) + ZREi(n) 



S'il n'y a pas eu de retrait au cours de la periode consid^ree, on aura RT = RT. S'il y a eu un ou 
plusieurs retraits, le risque va croltre au cours de la periode, et on aura RT > RT. 

L'operation de cumul definie par la relation ci-dessus est effectuee par un circuit additionneur 7 k partir 
des differentes valeurs de risque el^mentaire detenminees. de la manifere indiquee prec^demment. par le 
bloc 6. 

Ein fin de periode, on precede h un decalage des numeros de periode, de la maniere que Ton va 
indiquer ci-dessous et que I'on a illustree figure 3. 

Pour permettre ce decalage, le limiteur de risque est dot6 d'une horloge interne 8 qui fournit la variable 
temporelle t. Un comparateur 9 revolt t et la valeur ti (valeur calculee correspondant h la fin de la periode 
en cours), elabor^e par ie bloc 5 de la mani§re indiquee plus haut. Lorsque t = tt. un ordre de changement 
de periode est envoye au bloc 10, qui va d^caler la numerotation des p^riodes d'une unit§, la periode (n) 
devenant la periode (n - 1). 

L'evaiuation des risques eiementalres et du risque total se fera comme pr^cedemment, mals les 
periodes vont se trouver decalees d'une unit^, comnne illustre figure 3 sur un exemple (dans cet exemple, 
pour sinnplifier, on a suppose qu'll n'y a pas plus d'un retrait par periode. et on a arrondi les nnontants a la 
cinquantaine de francs la plus proche). 

Au cours d'une periode anterieure (dans cet exemple. la periode -4, c'est-a-dire quatre periodes avant 
la periode en cours) a eu lieu un retrait de 2000 F. ce qui donne pour le risque elementaire la suite de 
valeurs 2000, 2000, 2 000, 1700, 1300, 1000, 850. ... 

Au cours de la periode suivante (periode -3), aucun retrait n'est effectue. 

Au cours de la periode suivante (periode -2) un retrait de 1000 F est effectue. ce qui donne pour ie 
risque Elementaire la suite de valeurs 1000, 1000. 1000. 850. 650 

Pour revaluation du risque total, on cumule ces differentes valeurs respectives a celles etablies pour la 
periode -4. Mais pour tenir compte du fait qu'il ne s'agit pas de retraits effectues au cours d'une meme 
periode. on d^cale vers la droite. de deux colonne dans cet exemple. cette serie de valeurs par rapport a la 
premiere. 

On precede de meme pour les risques El^mentaires attaches aux periodes suivantes : dans cet 
exemple, on n'a aucun retrait au cours de la periode -1. et un retrait de 2 000 F au cours de la periode 
zero. c*est-a-dire la periode consideree. 

Le risque total pour cette periode z6ro est alors 4gal h la somme des valeurs de la colonne 
correspondante, soit 1300 + 0 + 1000 + 0 + 2000 = 4300 F. 

On voit ainsi que plus les retraits anterieurs ont eu lieu h une periode reculee, plus leur incidence est 
faible dans le calcul du risque total, et inversement. ce qui est bien le resultat recherche. 

On voit egalement que, en ce qui conceme les periodes k venir (periodes + 1 , +2. ...) le risque total va 
se reduire au fur et k mesure de la succession des periodes. h moins bien entendu que de nouveaux 
retraits interviennent, provoquant ainsi une augmentation h nouveau de la valeur du risque total. 



Determination du montant finalement accorde 



A partir du risque total RTo correspondant a la periode en cours, determine par le bloc 7 de la maniere 
que Ton vient d'exposer, le limiteur de risque va prendre une decision concernant le montant a accorder 
MA, 

Si I'on appelle S le risque maximal accept^ par I'exploitant du distributeur. le limiteur de risque va 
accorder un montant MA egal k la plus faible des deux valeurs: 
MD c'est-^-dire le montant demande, et 

(S-RTo) c*est-&-dire le risque maximal diminue de la valeur instantanee du risque total RT. 

La determination de S-RTo est effectuE par le bloc 11, et celle du montant accorde MA par le bloc 2. 

Generalement. le plafond de risque S n'est pas un param^tre fixe, unique ; il peut etre constituE de 
plusieurs elements, design^s So. Si et Sz, dont le principal est So (la mani§re dont Si et S2 sont 
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determines et combines a So sera decrite plus bas). 

La plafond So pourralt §tre fixe et egal k une valeur de conslgne introduite par I'operateur via un organe 
d'entree 12. Le taux d'incidents (c*est-a-dire le pourcentage de fois ou MA < MD), et done le taux 
d*indisponlbiiite du distributeur, dependraient alors du profit d'utilisation et fluctueraient dans [e temps. 
5 Pour pailier cet inconvenient, on prevoit un asservissement de la vaieur So tel que le taux moyen 
d'incidents reste constant et egal k une valeur de consigne fixee par I'operateur. par exemple 1 incident 
tout les 500 retraits en moyenne. La detection des incidents (MA < MD) est effectuee par le bloc 13 et 
I'asservissement par le bloc 14. Les precedes d'asservissement sont des precedes en eux-m§mes connus 
du speclaliste de cette technique, et pour cette raison ne seront pas decrits ici en detail. 
10 La reponse elaboree par le bloc 2 est soit une absence de limitation (le distributeur accorde un montant 
MA = MD), soit une limitation (effet de <sc freinage ») c'est-a-dire que le distributeur accorde un montant 
MA < MD. soit un" refus de distribution (MA = 0). 

Les simulations qui ont ete effectuees montrent que, par mise en oeuvre du precede de Tinvention. on 
peut detecter une fraude potentielle d§s qu'elle atteint quelques retraits successifs. Le limiteur de risque 
75 entre alors tres rapidement en action pour diminuer, puis eventueilement annuler, pendant un certain temps 
la valeur MA, de fagon h retarder et done perturber Taction du fraudeur. 

Le temps de retour h une distribution normale est particulierement long aux heures creuses (periodes 
nocturnes), c'est-a-dire aux moments preferes par les fraudeurs. 

20 

Determination des periodes u(t) 



Comme on I'a vu plus haut. les performances du limiteur de risque dependent directement de la quality 
25 de la prediction des instants tn successifs d^finissant la division du temps en periodes consecutives 
inegales de longueur u(tn). Par ailleurs, ie nombre total de periodes au cours d'une meme journee peut etre 
tres eleve. puisque la duree de certaines periodes peut etre tres courte. 

Dans ces conditions, plutot que de memoriser et mettre a jour (pour la fonction d'asservissement) un 
trfes grand nombre de points u(tn), on peut avec une bonne approximation ne conserver en memoire qu'un 
30 nombre limite de valeurs discretes preetablies V(n) et determiner par interpolation, k partir de ces vaieurs, 
la valeur u(t) k tout instant voulu. 

Ces valeurs V(n) peuvent notamment etre constituees des valeurs prises par ia fonction u(t) aux heures 
rondes de la journee, ce qui limite la memorisation et la mise a jour a 24 valeurs (correspondant k une 
colonne de valeurs dans le tableau de la figure 4). 
35 Parmi un grand nombre de methodes d'interpolation possibles et connues. on pourra, par exemple pour 
une valeur de t comprise entre t„ = 18 heures et tn*i = 19 heures, determiner la courbe du troisieme 
degre passant par les quatre points: 



t = 17 


t=18 


t = 19 


t = 20 


U = V(17) 


u = V(18) 


u = V(19) 


u = V(20) 



On determine ainsi, comme illustre figure 5, une courbe continue, referencee A, a partir d'un certain 
^5 nombre de valeurs discretes, referencees B. 

De fa^on generale. on pourra par ce precede, a partir d'une valeur to, determiner u(to), puis tt grace a 
la relation: 
ti = to + u(to) 

puis, de proche en proche, t2. ta. ... tn, ... etc. 
50 Ces calculs sont effectues par le bloc 5 de la figure 1 , a partir des coefficients V(n) conserves dans le 
bloc 15. 

Ce bloc 15 precede en outre a I'asservissement des valeurs V(0), V(1),... V(23), de fagon a maintenir la 
condition fondamentale que la probabilite de retrait par periode u(t) soit essentlellement constante et egale 
a 40 %. Les precedes d'asservissement sont blen connus des specialistes de la technique et, pour cette 
55 raison, ne seront pas decrits Ici en detail. 



Prise en compte des variations cyciiques dans le calcul des periodes u(t) 
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La densite temporelle des retraits, c'est-a-dire le profil d'utiiisation du distributeur dans ie journee. qui 
est representee par les 24 valeurs V(0). V{1). V(2), ... V{23). subit en fait dans le temps des variations 
5 cycliques, c*est-&-dire que le profil d'utiiisation n'est pas le meme un lundi, un dinnanche, un jour ferie. etc. 

I! est done souhaitable d'utiliser non pas un profil journalier type, constltue d'une unique serie de 24 
valeurs, mais des profils diff^rents selon les jours du caiendrier. Ces profils sont representes par un tableau 
tel que celui d© la figure 4 connportant un certain nombre de colonnes (fonction du caiendrier) et 24 lignes 
(fonction de I'heure). 

70 Le limiteur de risque est dote d'une horloge 8 et d'un caiendrier 16 qui pourra etre programme 
longtemps k Tavance par un operateur, au moyen de la commande 17, de maniere a d^finir les jours 
exceptionnels Goursferies, jours de foire. veilles de ponts, ...) oCi le profil d'utiiisation est atyplque. 

Le caiendrier 16 et le bloc 17 selectionnent alors ia colonne et la ligne a utiliser dans le tableau 
(memorise dans le bloc 15) pour le calcul de u(t) (effectu^ dans le bloc 5). 
75 On peut diminuer conslderablement le nombre de colonnes du tableau V. jusqu'^ une dizaine ou une 
douzaine de colonnes, en remarquant que la fonction V subit des variations cycliques dont on peut tenir 
compte par des coefficients de ponderation qui assurent, par exemple, une correction en fonction du 
quantieme a I'interieur du mois el/ou du mois a Tinterieur de I'annee. 

Le coefficients sont determines h I'avance par des methodes d'anaiyse statistique classiques (analyse 
20 harmonlque), qui sont connues du speclaliste et, pour cette raison ne seront pas decrites plus en detail id. 

Ces coefficients correcteurs sont determines par le bloc 18. qui les applique au bloc 5 pour assurer la 
ponderation appropri^e lors du calcul des valeurs de u(t). 

25 Am eliora Hon de l*es tima tion du pta ton d de risques 

On a indlque plus haut que ie plafond de risque etait determine notamment a partir d'une valeur fixe de 
consigne So initialement introduite par I'operateur dans le dispositif. 
30 On a Indique ^galement que Ton evaiuait initialement et que Ton asservissait cette valeur So de 
manier© k maintenir essentiellement constant le taux d'incident (c'est-^-dire le nombre de fois ou le 
dispositif refuse de deiivrer la totalite du montant demande). 

L'experience montre cependant que. la repartition dans le temps des incidents n'est pas aleatoire. mais 
que ceux-ci .proviennent generalement de ph^nomenes d'afflux soudains et p§riodiques de porteurs. lies 
35 par exemple S une heure de sortie de cinema, d'arrivee d'un car ou d'un train, etc. 

On peut ameiiorer les reactions du iimiteur de risque en ajoutant un tableau supplementaire, de 
structure semblabte k celle du tableau V de ia figure 4. A chaque incident constate par Ie bloc 13 (c'est- 
^-dire chaque fois que Ton aura MA < MD), on ajoute dans la case correspondante du tableau une somme 
fixe (2000 F par exemple) et on retranche dans toutes les autres cases une quantite egale (dans cet 
40 . exemple, de 2000/23 F) de maniere que la colonne du tableau soit une fonction normee. c'est-a-dire que la 
somme de toutes les cases de la colonne soit egale a zero. 

Par interpolation, de preference avec la meme methode que celle .utilisee pour determiner u„(t) a partir 
du tableau V(t), le bloc 19 du limiteur de risque calcule une fonction Si(t) qui est ajoutee a So (la fonction 
additive pouvant etre remplacee par une fonction multiplicative), d'ou: 
45 S(t) = So(t) + Si(t) 

Cette operation supplementaire va rendre compl^tement aleatoire I'apparition des incidents, en suppri- 
mant I'effet des causes r^petitives. 

De la m§me fagon, on peut ajuster le plafond de risque S de manifere a tenir compte egalement des 
profils typiques de fraudes. L'operateur introduit alors. par le bloc 20. les param§tres caracteristiques de 
50 transactions frauduleuses anterieurement constatees (montant le plus souvent demand§ par un fraudeur, 
jour et heure preferes. etc.). qui permettra d'etabilr une fonction complementaire Sz determinee et traltee de 
fagon semblable a Si (bloc 21). La fonction Sa obtenue viendra en deduction du risque total S. d'ou: 
S(t) = So(t) + Si(t)-S2(t) 

lei encore, la fonction additive (soustraction) pourra §tre remplace par une fonction multiplicative 
55 (division). 

Ainsi, un fraudeur qui essaierait de profiter plusieurs fois des memes cireonstanees ou des memes 
scenarios se verrait encore plus limite dans ses possibilites de fraudes, puisque le plafond de risque se 
trouvera automatiquement reduit lorsque ces cireonstanees partieuli^res seront reunies. 
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Prise en compte des utilisations anormaiement faibles 

Comme on Pa indique plus haut, le risque total RT calcule s'attenue au cours du temps, jusqu'a devenir 
5 negligeable. si aucun retrait n*est effectue pendant plusieurs periodes consecutives. 

L'invention permet de tenir compte aisement des utilisations anormaiement faibles, ce qui. dans 
certains cas, peut etre considere comme le signe precurseur d'un fraude. 

Pour contrer une telle fraude, on ajoute au risque total RT un risque supplementaire ou risque aggravg 
RX, qui dependra de la probabillte pour qu'il n'y ait pas de demande de retrait sur p periodes consecutives. 
10 Dans Texemple choisi (probabillte de 40% qu'un retrait ait lieu au cours d'une periode), la probabillte 
correspondante sera (0.6)'*. 

Le iimiteur de" risque est dote d'un compteur de periodes (bloc 22) qui est incremente d'une unite a 
chaque changement de periode et remis k zero h chaque demande de retrait. 

Si Ton accepte un niveau d'incident de 1 Incident pour 500 retraits, solt un Incident pour 1250 periodes, 
15 la valeur de p a partir de laquelle on peut considerer comme anormal quMI n'y ait pas eu de demande de 
retrait est donnee par: 
(0.6) P = 1/1250. solt : p = 14 

En pratique, on pourra prendre une valeur un peu plus ^ievee, par exemple p = 1 6. 
On centre alors la fraude exposee plus haut en ajoutant au Iimiteur de risque une fonction supplemen- 
20 taire qui annulera (S-RT) lorsque p ^ 16. 

En pratique, cette fonction pourra etre realisee de fagon simple par introduction de retraits fictifs qui 
viendront augmenter RT. 

Ainsi, a partir de la periode correspondant ^ p = 16 -(S/2000), solt environ p = 12, on augmentera 
(bloc 23) 'artificiellement RT en ajoutant un retrait fictif du montant maximal (2000 F dans cet exemple). 
25 Ce montant fictif entratnera le calcul d'un risque ^I^mentaire par le bloc 6, et done une mise k jour et 
une augmentation du risque total RT par le bloc 7. 

S'il n'y a toujours pas de demande de retrait au cours de la periode suivante, on reitfere I'operation 
jusqu'a la periode p = 16 (et au-del^). jusqu'a ce que (S-RT) devienne faible ou nul. 

La premiere demande de retrait qui interviendra alors provoquera la remise h zero du compteur 22. 
30 Mais toutefois, du fait du risque total RT artificiellement augmente. le montant accorde MA restera nul ou 
faible pendant un certain nombre de periodes, ce qui est le but recherch^. 

Bien entendu. le distributeur peut etre arrete pour des raisons normales telles qu'un epuisement du 
stock de billets, une operation d'entretien. des essais, etc. On suspendra alors le fonctionnement du 
compteur t. de fagon a permettre un redemarrage immediat si I'arret est considere comme normal (bloc 
35 24). 



Initialisation du Iimiteur de risque 

40 

On considerera que le Iimiteur de risque fonctionne de fagon normale lorsque le parametre S (plafond 
de risque) et les elements du tableau V prennent des valeurs sensiblement stables. 

La periode d'initialisatlon peut ainsi aller de deux mois (pour les jours de la semaine) k plus d'un an 
(pour tenir compte des jours feries et des dates exceptionnelles, des coefficients correcteurs saisonniers de 
45 ponderation. etc.). 

Pendant la periode d'initialisation, on §vitera les incidents intempestlfs en donnant a So une valeur 
initiale elevee. 

Pour reduire la periode d'initialisation, on donnera aux differents asservissements du Iimiteur de risque 
des constantes de temps relativement faibles. que Ton fera croHre progressivement jusqu'aux valeurs 
50 finales. 

On pourra egalement reduire considerablement le temps d'initialisation par utilisation de valeurs 
provenant d'autres distributeurs dont les profits d'utilisation sont semblables. 

Les operations d'initialisation du Iimiteur de risque sont realisees par un organe superviseur interne 26, 
a partir des parametres introduits par I'operateur par Tintermediaire d'un organe 25. 

55 

Revendicattons 
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I. Un precede d'analyse et de controle du deroulement de transactions informatiques dans lequel. a 
chaque transaction: 

- un utilisateur requiert d'un dispositif la delivrance de biens. de services ou de valeurs pour un montant 
demande (MD) donn^, 

5 le dispositif analyse cette requite par comparaison avec des donnees statistiques predeterminees, 
representatives de I'evaluation d'un risque d'utilisation non conforme. ces donnees statistiques comprenant 
des donnees relatives au nonnbre moyen ou au montant nnoyen des transactions effectuees au cours de 
pSriodes successives donnees, et 

- le dispositif elabore une reponse autorisant ou non, en fonction du resultat de cette analyse, la delivrance 
70 d'un montant accord^ (MA), 

caracterise en ce que lesdites donnees statistiques predeterminees resultent d'une division du temps en 
periodes consecutives, inegales, dont les durees (Un) sont choisies de telle manifere que la probabilite (Un(t)) 
qu*une transaction soit effectuee ou qu'un montant moyen soit demande au cours de chacune de ces 
periodes soit essentiellement constante. 
15 2. Le precede de la revendication 1 , dans lequel: 

- le dispositif elabore et met k jour au cours du temps une fonction donnant une evaluation d'un niveau de 
risque total (RT). et 

- en cas de transaction, le dispositif limite, §i un instant donne, la delivrance du montant accorde (MA) k une 
valeur au plus 6ga\e a la fois au montant demand^ (MD) et h une limite (S-RT) egale h un plafond 

20 predetermine (S) diminue de la valeur instantanee du risque total (RT). 

3. Le precede de la revendication 2, dans lequel. a Tinterieur de chaque periode, le dispositif met a jour la 
valeur du risque total (RT) par addition, apres chaque transaction, de !a valeur d'un niveau de risque 
elementaire (RE(n)) attache cette transaction, k la valeur precedente (RT) du risque total. 

4. Le procede de la revendication 3, dans lequel le risque elementaire (RE(n)) attach^ k chaque transaction 
25 est une fonction donnant, pour chacune des periodes successives a venir, une serie d'evaluations 

successives d^termin^es h partir du montant accorde delivre par le dispositif pour cette transaction, ces 
evaluations successives etant determinees de maniere a donner une Evaluation du risque elementaire 
essentiellement decroissante en fonction du rang des periodes successives. 

5. Le procede de la revendication 2, dans lequel ledit plafond predetermine (S) est determine h partir d'une 
30 valeur fixe de consigne (So) initialement introduite dans le dispositif et dans lequel, en outre, le dispositif: 

- determine Tapparition d'un incident lorsqu'il ne delivre qu'un montant accorde (MA) inferieur au montant 
demande (MD), et 

- asservit ladite valeur fixe de consigne initialement introduite (So) sur un taux moyen d'incidents 
essentiellement constant au cours du temps. 

35 6. Le procede de la revendication 1, dans lequel lesdites durees (Un) definissant la division du temps en 
periodes consecutives inegales sont determinees par interpolation a partir des valeurs d'un tableau (V) de 
valeurs discretes statistiques preetablies correspondant a une division du temps en tranches consecutives. 

7. Le procede de la revendication 6, dans lequel le dispositif: 

- determine i'apparition d'un incident lorsqu'il ne delivre qu'un montant accorde (MA) inferieur au montant 
40 demande (MD), et 

- asservit lesdites valeurs discretes statistiques preetablies Initialement introduites de maniere k maintenir 
essentiellement constante la probabilite (Un(t)) qu'une transaction soit effectuee ou qu'un montant moyen 
soit demande au cours de chacune des periodes correspondantes. 

8. Le precede de la revendication 6. dans lequel le dispositif utilise un tableau (V) de valeurs discretes 
45 statistiques different pour chacun des differents jours. 

9. Le procede de la revendication 6, dans lequel, en outre, le dispositif pond§re les valeurs discretes 
statistiques du tableau (V) en fonction des variations cycliques constatees desdites valeurs, netamment 
selon le quantieme du mois et/ou le mols de I'annee. 

10. Le procede de la revendication 6, dans lequel, en outre, le dispositif pondere les valeurs discretes 
50 statistiques du tableau (V) en fonction des param^tres typiques lies a des transactions frauduleuses 

anterieurement constatees. 

II, Le precede de la revendication 4. dans lequel: 

- le dispositif elabore et met a jour au cours du temps une evaluation d'un niveau de risque aggrave (RX) 
inversement fonction de la probabilite pour que, a un instant donne. il n'y ait pas eu de transaction 

55 effectuee depuis un nombre donne (p) de periodes consecutives. le risque aggrave etant ajoute au risque 
total (RT) sous forme d'une transaction fictive de montant donne (RX). et 

- en cas de transaction dans une periode posterieure. le dispositif limite, k un instant donne. la delivrance 
du montant accorde (MA) k une valeur au plus egale k la fois au montant demande (MD) et a ladite limite 
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